SW 보안약점 유형

   

소프트웨어 보안약점 유형

SW 보안약점은 입력데이터 검증 및 표현, 보안기능, 시간 및 상태, 에러 처리, 코드오류, 캡슐화, API오용 유형으로 분류

유형	내용	예
입력데이터 검증 및 표현	프로그램 입력값에 대한 검증 누락 또는 부적절한 검증, 데이터의 잘못된 형식지정으로 인해 발생할 수 있는 보안약점	SQL 삽입, 경로 조작 및 자원 삽입, 크로스사이트 스크립트 등
보안기능	보안기능(인증, 접근제어, 기밀성, 암호화, 권한 관리 등)을 적절하지 않게 구현한 경우 발생할 수 있는 보안약점	부적절한 인가, 중요정보 평문저장, 하드코드된 비밀번호
시간 및 상태	동시/거의동시 수행을 지원하는 병렬시스템 또는 하나 이상의 프로세스가 동작되는 환경에서 시간 및 상태를 부적절하게 관리할 경우 발생할 수 있는 보안약점	경쟁조건: 검사시점과 사용시점(TOCTOU)
에러처리	에러를 처리하지 않거나 불충분하게 처리하여 에러정보에 중요정보(시스템 정보 등)가 포함될 때 발생할수있는 보안약점	오류상황 대응 부재, 오류 메시지를 통한 정보노출
코드오류	타입 변환오류, 자원(메모리 등)의 부적절한 반환 등과 같이 개발자가 범할 수 있는 코딩오류로 인해 발생할 수 있는 보안약점.	Null Pointer 역참조, 부적절한 자원 해제
캡슐화	중요한 데이터 또는 기능을 불충분하게 캡슐화 했을 때 인가되지 않은 사용자에게 데이터가 누출될 수 있는 보안약점	제거되지 않고 남은 디버거 코드 시스템 데이터 정보노출
API 오용	의도된 사용에 반하는 방법으로 API를 사용하거나 보안에 취약한 API를 사용하여 발생할 수 있는 보안약점	DNS lookup에 의존한 보안결정